99% токенов хранятся в localstorage
в них не должно содержаться никаких логинов/паролей/уязвимой инфы, вся безопасность должна крутиться на бэке
обычно это пара authToken/refreshToken, если нужно еще хардверно привязать то лучше системные куки + фингерпринт какой нибудь
простой ответ - localstorage
для остального надо подробный кейс